从浏览器控制台获取 Cookie

Getting cookies from the browser console

提问人:rendoteru 提问时间:11/14/2023 最后编辑:rendoteru 更新时间:11/15/2023 访问量:34

问:

有一位教职员工主持 XSS 漏洞研究的实验室工作。第一页是授权,我们手动完成。第二页有一个文本输入字段和一个发送按钮(但您可以使用“发送”按钮发送文本)。如果您在文本输入字段中输入代码,则可以在开发者控制台中看到用户的 Cookie。 我正在创建一个本地服务器:<script>console.log(document.cookie)</script>

if __name__ == "__main__":
    app.run(host='127.0.0.1', port=5000)

然后我将用户重定向到目标页面并调用函数以发送 POST 请求:

url = 'http://targetsite'
payload = {
      'text': '<script>console.log(document.cookie)</script>',
}
response = requests.post(url, data=payload)
print(response)
print(response.text)

text是页面的 HTML 代码中的名称参数。 并且只有页面的 html 代码返回给我作为响应。 我有两个问题:

  1. 即使我得到代码,来自服务器的响应是否真的正确200 OK
  2. 有什么办法可以把这些发送给自己作为回应吗?console.log(document.cookie)
浏览器 python-requests xss

评论

0赞 JonSG 11/14/2023
页面上的某个地方运行了一些 javascript。可能使用演示信任用户输入的危险。eval()

答: 暂无答案

上一个:预先格式化的文本在 iPhone 上无法正确显示

下一个:跨站点脚本 (xss) 相关问题 [已关闭]